在Ubuntu上配置auditd服务可以按照以下步骤进行:
安装auditd服务:在终端中运行以下命令安装auditd服务:
sudo apt-get update
sudo apt-get install auditd
配置audit规则:编辑audit规则配置文件/etc/audit/rules.d/audit.rules,添加需要监控的规则。例如,可以添加以下规则来监控对文件的访问:
-w /path/to/file -p rwxa -k file-access
启动auditd服务:在终端中运行以下命令启动auditd服务:
sudo systemctl start auditd
设置auditd开机自启动:在终端中运行以下命令设置auditd开机自启动:
sudo systemctl enable auditd
查看audit日志:可以使用ausearch命令来查询audit日志,例如查看最近的100条audit日志记录:
sudo ausearch -m all -i --start recent -c all -ts today -k file-access
通过以上步骤,您就可以在Ubuntu上成功配置和启动auditd服务,并监控系统的操作和访问日志。